„Kolibri“-Compliance: Die Compliance-Lösung für den Mittelstand – effizient, schnell, variabel

Erstellt von Wiebke Johanna Backhaus | |  BTadvice 12/2018

„Planen Sie ein Compliance Management System (kurz: CMS) in Ihrem Unternehmen zu implementieren?“ Nicht selten lautet die Antwort von Geschäftsführern auf diese Frage: „Compliance? Das kostet viel Zeit und Geld und ist doch „Geschäftsverhinderung“ ohne wirklichen Mehrwert. Außerdem kenne ich unsere Mitarbeiter. Die verhalten sich korrekt.“

Die Antwort ist durchaus nachvollziehbar. Aus der Erfahrung heraus gibt es allerdings in fast allen Fällen eine praktikable Lösung, die vor persönlicher Haftung, finanziellen Schäden und Reputationsschäden bewahren kann und zugleich die Rahmenbedingungen des Unternehmens berücksichtigt. Wie kann die Implementierung eines anforderungsgerechten Compliance Management Systems (nachfolgend „CMS“) unter Anwendung der Prinzipien der „Kolibri“-Compliance aussehen?

Rahmenbedingungen: meist begrenzt vorbereitet 

Wenn „plötzlich“ Aufsichtsgremien und/oder Compliance-Vorfälle den Handlungsdruck auf die Unternehmensleitung erhöhen, Compliance-Management-Strukturen zu imple-mentieren, sind die Rahmenbedingungen in mittelständischen Unternehmen vielfach die Folgenden:

  1. Begrenzte personelle Ressourcen
  2. Begrenzte finanzielle Ressourcen
  3. Scheu vor Mehraufwand aufgrund hoher Arbeitsbelastung
  4. Ausbaufähige Organisationsstrukturen, Systeme und Prozesse
  5. Schnelles Unternehmenswachstum

Mit der Implementierung eines CMS wollen die Unternehmen primär Folgendes erreichen:

  • Die Verhinderung von Verstößen gegen geltendes Recht bzw. unternehmensinterne Regelungen.
  • Die Verringerung von Haftungsrisiken und Reputationsrisiken für das Unternehmen, die Organmitglieder und Mitarbeiter.

Mit dieser Zielsetzung vor Augen starten die Unternehmen ihre Compliance-Aktivitäten – dabei immer im Blick: die oben genannten Rahmenbedingungen.
In dieser Situation kann eine bedarfsgerechte, an die Rahmenbedingungen des Unternehmens gut angepasste Compliance die Lösung sein.

Wir nennen diese Lösung „Kolibri“-Compliance:
...effizient,            
...schnell,         
...variabel.          

 

Um die Grundzüge der Kolibri-Compliance zu erläutern, beantworten wir 10 Fragen und geben Handlungsempfehlungen, die sich in unserer Praxis bewährt haben:
FrageAntwortEmpfehlung

1. Muss das Unternehmen sich an den Rahmen des IDW PS 980 halten?

Nein. Daran müssen sich nur Unternehmen halten, die ihr CMS durch eine Wirtschaftsprüfungsgesellschaft (im Folgenden kurz: „WPG“) nach dem IDW PS 980 prüfen lassen möchten. Aber: Der IDW PS 980 gibt eine 7-Grundelemente-Struktur vor. Die Konzeption des CMS an diese Struktur anzulehnen, gewährleistet die notwendige systematische Herangehensweise an das Projekt.

Die 7-Grundelemente-Struktur des IDW PS 980 als konzeptionelles Gerüst des CMS verwenden.

2. Braucht ein mittelständisches Unternehmen viel Zeit, um ein anforderungsgerechtes CMS aufzubauen?

Nein. Innerhalb von sechs Monaten kann jedes Unternehmen ein Compliance-Konzept erstellt und erste Maßnahmen implementiert haben. Dann ist das Glas nicht mehr halb leer, sondern wenigstens schon halb voll. In dieser Phase hilft:

  • Maßnahmen-Priorisierung:

o    Sofortmaßnahmen (innerhalb von 1 bis 2 Monaten implementieren)
o    Mittelfristige Maßnahmen (innerhalb von 3 bis 6 Monaten implementieren)
o    Weitere Verbesserungsmöglichkeiten in der Zukunft

  • Vorhandene Prozesse nutzen/ergänzen bzw. vorhandenen Prozessen den „Compliance-Stempel“ verpassen; Beispiel: das Risikomanagement-System von Unternehmen kann in vielen Fällen um Compliance-Risiken erweitert werden.
 

Zunächst das CMS-Konzept gestalten und dabei vor allem auch vorhandene Prozesse nutzen, erst danach mit der Umsetzung starten. 

3. Ist der Compliance Officer „der Kümmerer“ für alle Compliance-Risiken im Unternehmen?

Nein. Das Unternehmen ist zahlreichen und vielfältigen Risiken ausgesetzt. Alle diese Risiken sind unter einem gewissen Blickwinkel Compliance-Risiken, denn „Compliance“ bedeutet nichts anderes als „Einhaltung von internen und externen Regeln“. Die definierten Compliance-Risiken eines CMS sind allerdings nur gezielt ausgewählte Risiken aus dieser Gesamtheit aller Risiken; nur für das Management dieser definierten Compliance-Risiken, sollte der Compliance Officer unmittelbar verantwortlich sein.

Compliance-Risiken systematisch analysieren, Risikoausrichtung des CMS durch Geschäftsführung verabschieden lassen und Prozess sowie Ergebnis schriftlich dokumentieren.

4. Kann ich mit einem „Sack voll Geld“ die Compliance im Unternehmen erkaufen?

Nein. Denn Fehlverhalten Einzelner, aus unterschiedlichen Motivlagen heraus, gab es immer und wird es immer geben. Aber: Die systematische Implementierung eines anforderungsgerechten CMS dokumentiert den ernsthaften Willen der Geschäftsleitung, Compliance im Unternehmen sicherzustellen und wirkt präventiv.

Richten Sie die Maßnahmen des CMS risikoorientiert an Ihrem Geschäftsmodell, der Branche und der Unternehmensgröße aus.

5. Schützt die erfolgreiche Prüfung des CMS gemäß IDW PS 980 durch eine WPG vor z. B. Bußgeldern?

Eher nein. Allerdings kann eine erfolgreiche Prüfung dazu führen, dass die Geschäftsführung den Gegenbeweis einer Verletzung der Aufsichtspflichten führen kann. Weitere Motive:
•    Zwang zum systematischen Vorgehen
•    Anregungen für Optimierungen des CMS
•    Unabhängige schriftliche Bestätigung
•    Wettbewerbsfähigkeit wegen Branchenüblichkeit

Es kann für Ihr Unternehmen sinnvoll sein, Budget für eine Initialberatung durch eine Wirtschaftsprüfungsgesellschaft in der Phase des Aufsetzens des CMS einzuplanen – unabhängig davon, ob Sie Ihr CMS später prüfen lassen wollen oder nicht.

6. Braucht jedes Unternehmen ein IT-basiertes Hinweisgebersystem durch einen externen Anbieter?

Nein. Allerdings kann eine externe Lösung sinnvoll sein, um ein wirksames Hinweisgebersystem zu implementieren. Wann ist das so? Insbesondere wenn das Unternehmen international, z. B. in Asien, tätig ist, wo die Mehrzahl der Mitarbeiter nicht Deutsch, Englisch oder Französisch sprechen wird. Achtung: bei der Implementierung solcher Hinweisgebersysteme sind Datenschutzgesetze und in einzelnen Ländern notwendige Behördengenehmigungen zu beachten.

Die Art des zu empfehlenden Hinweisgebersystems variiert stark von Unternehmen zu Unternehmen. Sparen Sie durch eine strukturierte Analyse Ihres konkreten Bedarfs Zeit und Geld.

7. Ist irgendein CMS besser als gar kein CMS?

Nein. Denn das impliziert ein nicht systematisches Aufsetzen des CMS. Dies hat nahezu zwingend zur Folge, dass das CMS fehler- und/oder lückenhaft ist und die Geschäftsführung sich in falscher Sicherheit wähnt.

Gehen Sie schrittweise und systematisch vor. Auch hier gibt die 7-Grundelemente-Struktur des IDW PS 980 einen sinnvollen Leitfaden vor.

8. Ist Compliance Mehraufwand?

Ja. Natürlich bedeutet die Einführung von Compliance-Strukturen Mehraufwand. Der positive Effekt: Transparenz, Dokumentation und Prävention. Auch hier kann man mit praxistauglichen Lösungen das Büro-kratie-Monster besänftigen und einen besonderen Fokus auf bereits vorhandene Systeme und Strukturen legen.

Bei allem, was Sie regeln wollen, sollten Sie immer auch den Praxis-Filter anwenden und durchdenken, wie Sie die Einhaltung der Regelung im Nachhinein prüfen können.

9. Ist der Mehrwert von Compliance unmittel-bar messbar?

Nein. Wenn nicht die großen Abnehmer (wie z. B. die Automobilindustrie) Compli-ance-Strukturen als Voraussetzung für eine Lieferbeziehung fordern, dann zahlt sich die Konzeption und Implementierung eines anforderungsgerechten CMS spür-bar und z. T. messbar meist erst im Compliance-Fall aus. Aber wenn Sie zum Bei-spiel nach dem „Auffliegen“ einer „Schwarzen Kasse“ den Finanz- oder Strafverfolgungsbehörden zeigen können, dass Sie Ihrer Geschäftsführungsverpflich-tung durch den Aufbau von CMS-Strukturen und bspw. geeigneten Compliance-Trainings (unterschriebene Compli-ance-Training-Teilnehmerlisten) ange-messen nachgekommen sind, wird das von den Behörden in der Regel positiv gewertet. 

Werden Sie präventiv tätig, um wettbewerbs-fähig zu sein und sich für einen künftigen Compliance-Vorfall zu rüsten.

10. Ist die Überforderung einiger mittelständischer Unternehmen bei der Einführung eines CMS ge-rechtfertigt?

Ja und nein. Irgendwelche Compliance-Strukturen zu schaffen, ist zumeist „kein Hexenwerk“. Diese aber systematisch und risikoorientiert aufzusetzen, praktikable und prüfbare Prozesse sauber zu konzeptionieren und zu implementieren und die Halbwertzeit der Maßnahmen zu maximieren, erfordert eine ernsthafte Auseinandersetzung mit der Thematik und auch eine gewisse Erfahrung mit der Konzeption und Implementierung von Compliance Management Systemen.

Systematisch, praktikabel und ernsthaft - diese Kriterien müssen erfüllt sein. Legen Sie Wert auf die nachhaltige Wirkung Ihres CMS!

 

Infokasten IDW PS 980 
Titel

„IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW PS 980)“

Stand

11.03.2011

Systematik

7-Grundelemente-Struktur

3-Stufen-Struktur 
  • Stufe 1: Konzeption
  • Stufe 2: Angemessenheit
  • Stufe 3: Wirksamkeit
 

 

Innerhalb von sechs Monaten kann jedes Unternehmen ein Compliance-Konzept erstel-len und erste Maßnahmen implementiert haben. Dann ist das Glas nicht mehr halb leer, sondern wenigstens schon halb voll.